Check list essenziale per il settore IT: siete pronti per il GDPR?

20 Ottobre 2017

6 min: tempo di lettura

La HP EliteBook x360, il PC convertibile business che offre una straordinaria sicurezza, con processore Intel® Core™ i7 vPro™.

Check list essenziale per il settore IT: siete pronti per il GDPR? (Desktop)

Preparate la vostra azienda a una delle più grandi sfide (e opportunità) per i dati nel 2018

Il 25 maggio 2018, il regolamento generale UE sulla protezione dei dati (GDPR UE) sostituirà tutti gli altri regolamenti vigenti in Europa. Questo cambiamento comporterà l’introduzione di pesanti sanzioni per la mancata conformità: fino a 20 milioni di Euro o il 4% del fatturato globale dell’azienda, a seconda di quale dei due valori sia superiore. I Paesi Bassi hanno già attuato il GDPR mediante un’apposita legge sulla notifica della violazione di dati, entrata in vigore il 1º gennaio 2016.

Il GDPR ha due effetti principali: da una parte protegge i diritti sui dati dei cittadini dell’UE tutelando la loro privacy. Chiunque conduca attività economiche all’interno del mercato unico dovrà conformarsi a tale regolamento. Questo riguarda anche le imprese extracomunitarie che conducono transazioni con clienti residenti nell’UE.

Il secondo effetto riguarda in modo diretto il settore IT e richiede che le aziende siano dotate di politiche di sicurezza degli endpoint solide e a più livelli, mirate alla protezione dei dati e attive a livello della rete, dei dispositivi e degli utenti.

Non esistono soluzioni rapide per la sicurezza informatica. Un sistema di difesa solido ha bisogno di un approccio che comprenda reti, dispositivi e persone. La politica di HP consiste nello sviluppare le funzioni di sicurezza, per ogni nuovo servizio o nuovo prodotto, prima di ogni altra cosa. “Security by design” significa che i prodotti vengono creati prevedendo la loro integrazione senza rischi nelle reti dei nostri clienti.

Quando i dispositivi utilizzati sono dotati di funzioni di sicurezza interne ed esterne, mantenere i dati protetti è più semplice.

È il modo in cui raccogliamo, memorizziamo e utilizziamo i dati che dovrà cambiare. Ad esempio: il diritto all’oblio impone alle organizzazioni di cancellare tutti i dati riguardanti un cittadino UE, comprese tutte le copie dei dati, qualora il cittadino ne faccia richiesta. Ciò richiede una mappa dei dati completa, che descriva quali dati vengono memorizzati, in quali luoghi e chi vi ha accesso. La stessa cosa vale per la sicurezza informatica.

In virtù di ciò, ecco le 10 azioni essenziali da intraprendere prima della scadenza fissata per maggio 2018.

Fase uno: effettuare l’auditing della propria situazione

La prima fase consiste nel valutare la situazione esistente. Disponendo di una visuale realistica della situazione attuale, si può sapere in che misura è necessario introdurre modifiche per ottenere la conformità.

  • Effettuare l’auditing dei dati Occorre.

    Accertarsi della sede in cui risiedono tutti i dati, di chi vi ha accesso e dei dispositivi interessati

  • Effettuare l’auditing dei propri partner di servizio

    Accertarsi che ogni partner di servizio (storage su cloud, SaaS e così via) che ha accesso ai dati sia conforme al GDPR o a qualsiasi altra giurisdizione sui dati applicabile

  • Verificare tutti i dispositivi autorizzati e non autorizzati che hanno accesso a dati personali.

    Accertarsi di conoscere ogni singolo dispositivo che ha accesso a dati personali, sia esso autorizzato ufficialmente o meno

Fase due: controllo degli accessi

La seconda fase consiste nel controllare l’accesso ai dati aziendali, per tenere traccia di chi vi può accedere e per prevenire che un’unica violazione permetta di accedere a tutti i dati.

  • Garantire il controllo dei privilegi di amministrazione

    Accertarsi che le azioni amministrative possano essere intraprese solo da una cerchia ristretta di persone, così da ridurre al minimo il rischio che entità terze assumano il controllo della rete

  • Assicurare un accesso a più livelli ai dati personali

    Stabilire un accesso ai dati in base alle necessità effettive di utilizzo di tali dati. Questo principio deve essere basato sull’utente, sul dispositivo e sulla rete da cui proviene la richiesta

  • Garantire diritti di accesso e cancellazione remoti per i dati aziendali

    Accertarsi di poter recuperare e cancellare i dati da tutti i dispositivi dotati di accesso ai dati personali, specialmente nei casi di smarrimento o furto

Fase tre: sicurezza a più livelli

La fase finale consiste nell’implementare una sicurezza affidabile che permetta di rilevare le violazioni e reagire alle stesse. La prevenzione è un concetto ideale, ma irrealistico. Ricordate che non esistono soluzioni rapide per la sicurezza informatica. HP consiglia una politica di difesa multilivello, che offra un approccio coerente e completo a uno scenario della sicurezza informatica in costante mutamento.

  • Se necessario, investite in dispositivi nuovi e più sicuri

    L’autenticazione biometrica a più fattori, il blocco del Bluetooth, i privacy screen e il BIOS con autoriparazione (introdotto per la prima volta da HP a livello mondiale con processore Intel® Core™ i7 vPro™) sono tutti ausili che permettono di proteggere i dati a livello di dispositivo.

  • Implementare una politica di analisi e di aggiornamento del software a intervalli regolari

    Le tradizionali difese di rete (antivirus, antimalware e firewall) non sono infallibili, ma sono comunque importanti. Gli aggiornamenti puntuali sono un fattore essenziale

  • Implementare software di rilevamento e risposta in tempo reale

    Proteggere gli endpoint con risposte dirette in tempo reale alle violazioni, ad esempio con la quarantena o l’interruzione dei processi e dei dispositivi. Includere uno strumento di gestione delle informazioni e degli eventi di sicurezza (Security Information and Event Management, SIEM)

  • Condurre sessioni di formazione in materia di sicurezza informatica per i dipendenti

    Il 58% delle minacce informatiche è causato da negligenza o azioni dolose dei dipendenti. Svolgere iniziative di formazione attiva per prevenire gli errori più comuni, come l’apertura di allegati sconosciuti

Oltre a consolidare la sicurezza, queste azioni consentono di ottenere la conformità alle seguenti disposizioni fondamentali del GDPR:

  • Segnalare le violazioni di dati entro 72 ore e dimostrare di avere operato con la necessaria diligenza per prevenirle

  • Diritto all’oblio: cancellare tutti i dati personali di un cittadino UE su richiesta dello stesso

  • Portabilità dei dati: fornire tutti i dati personali di un cittadino UE in un formato accessibile al cittadino stesso

  • Trasferimenti internazionali: garantire che i dati vengano trasferiti solo ad altre organizzazioni conformi al GDPR, o ad organizzazioni le cui giurisdizioni siano ritenute “adeguate”

HP mette la sicurezza alla base della progettazione dei propri prodotti, iniziando con l’adottare le migliori pratiche di sicurezza fin dal primo sviluppo del dispositivo. La sicurezza prima di tutto. Ecco perché EliteBook x360 con processore Intel® Core™ i7 vPro™ ha conquistato il riconoscimento di PC convertibile business straordinariamente sicuro*. Noi sappiamo che, ora come non mai, la sicurezza deve essere una priorità assoluta, non una clausola aggiuntiva.

Per semplificare la scelta della soluzione di sicurezza, potete prendere in considerazione HP Device as a Service (DaaS) di HP. Offre un modello di fruizione moderno che fornisce ai dipendenti l’hardware e gli accessori giusti, nonché i servizi, il supporto e la sicurezza per il ciclo di vita in un’unica offerta. È il modo più semplice per rimanere aggiornati e protetti.

Guida essenziale per la conformità al GDPR

Per ulteriori informazioni sulle modifiche introdotte dal nuovo GDPR e sul ruolo del reparto IT nel garantire la conformità della propria organizzazione, scaricate la nostra “Guida essenziale per la conformità al GDPR”. Questa include un insieme di controlli, definiti dal Center for Internet Security, che è necessario implementare per una difesa a più livelli contro le minacce informatiche.

* Straordinariamente sicuro, basato sulle esclusive e complete funzioni di sicurezza HP senza costi aggiuntivi presso i venditori con un volume delle vendite annuale >1 milione al 1° dicembre 2016, su PC Elite HP con processori Intel® Core™ di 7ª generazione, scheda grafica integrata Intel® e WLAN Intel®. Sottile rispetto alla concorrenza con >1 milione di unità all’anno di convertibili non separabili, dotate di sistema operativo Windows Pro e processore Intel® vPro™ di 6ª o 7ª generazione al 1° dicembre 2016.

Intel, il logo Intel, Intel Core, Intel vPro, Core Inside e vPro Inside sono marchi di Intel Corporation o di società controllate da Intel negli Stati Uniti e/o in altri Paesi.